2-Faktor-Authentifizierung für WordPress: Clef Plugin

- Plugin -

Nachfolgend stelle ich dir das WordPress-Plugin „Clef“ vor, mit welchem du auf deiner Webseite eine 2-Faktor-Authentifizierung realisieren kannst, um die Sicherheit zu erhöhen.

Jetzt lesen

Spätestens seit Heartbleed bin auch ich privat momentan daran, möglichst viele Dienste abzusichern und eine 2-Faktor-Authentifizierung überall da einzurichten, wo es möglich ist. Prinzipiell ist es mir relativ Latte, wenn jemand einen Account von mir „hacken“ würde. Ich bin mir bewusst, dass mit jedem neuen Account das Risiko steigt, meine Daten unter Umständen verkauft werden und wirklich wichtige Passwörter wie Online-Banking, PayPal etc. habe ich von Anfang an kryptisch gestaltet und speichere sie auch nirgendwo ab, außer in den Untiefen meines Gedächtnisses. Dennoch will ich es potenziellen Angreifern so schwer wie möglich machen.

Im ersten Schritt habe ich mir den Google Authenticator geholt, und so bereits einen Großteil meiner genutzten Services (GMail, Google+ etc.) etwas abgesichert.
Dann folgte der Umstieg auch bei Lastpass, wo ich so gut wie jedes Passwort im Tresor hinterlegt habe. Die Einrichtung eines 2-Wege-Anmeldeverfahrens läuft dort ebenfalls über den Google Authenticator ab, weshalb ich gleich zwei Fliegen mit einer Klappe schlagen konnte. Auch habe ich die „schwachen“ und doppelten Passwörter aller Dienste, die ich in Lastpass eingetragen habe, geändert. Doppelt hält eben doch besser.
Zwar ist die erneute Anmeldung in alle Services nach erfolgter Umstellung besonders auf dem Smartphone und iPad nervig, nimmt man sich allerdings einen Tag Zeit und klärt das, hat man ein ruhigeres Gewissen.

Zwei-Faktor-Authentifizierung für das WordPress-Backend

Mittlerweile bin ich also beim Thema Webseiten angekommen. Da kam mir der Artikel von Pressengers.de zum Clef Plugin gerade recht, denn es sieht optisch nicht nur wunderschön aus, sondern funktioniert spielend einfach.
Wege, das WordPress-Backend abzusichern, gibt es viele. Ob man die Login-URL ändert, damit man von außen nicht mehr auf das /wp-admin/-Verzeichnis zugreifen kann, oder ob man das Verzeichnis nochmals per .htaccess mit einem Passwort versieht, oder ob man auf bereits bestehende Zwei-Faktor-Authentifizierungsplugins setzt (darunter übrigens auch der Google Authenticator oder Authy, welches vor kurzem ein größeres interessantes Update erhalten hat), an Wegen und Möglichkeiten soll es nicht scheitern.

Ich habe mich letztlich gegen den erneuten Einsatz des Google Authenticators entschieden, da ich es doch überaus nervig finde diesen Pin einzugeben. Ich weiß, First World Problems hier, aber immer wenn ich die App öffne, läuft mir die Zeit in den nächsten 3 Sekunden ab und da ich nicht so schnell bin, muss ich immer mit ansehen wie die Uhr runtertickt. Ernüchterndes Gefühl am Ende, da man die Wartezeit über so unproduktiv war.

Clef Plugin – Ein Login für alle Webseiten

Der Hauptgrund aber, wieso ich letztlich momentan doch auf Clef setze: Installiert man das Plugin auf mehreren Blogs und meldet sich auf der Clef-Homepage mit dem Smartphone an, ist man automatisch in allen Webseiten eingeloggt. Ich muss mich also nicht jedes mal in jedem meiner Blogs einzeln anmelden, sondern bin durch die Anmeldung auf der Clef Webseite automatisch überall drin. Sehr praktisch, zumal ich in der App einstellen kann, wie lange ich eingeloggt bleiben möchte (nahtlose Skalierung von einer Minute bis in die Unendlichkeit und noch viel weiter).

Download: Clef

wpclef
wpclef
Entwickler: Clef
Preis: Kostenlos

Funktionsweise von Clef

Im Video wird Clef sehr gut vorgestellt. Man installiert das Plugin, richtet sich beim ersten Login einen Clef-Account ein und dann kann man schon loslegen und die Wellen mit der Smartphone-App scannen. Besonders interessant ist die Tatsache, dass Account-Details nicht auf dem Clef-Server abgespeichert werden (so zumindest die Aussage) und dass bei jedem neuen Login eine neue Welle und somit ein neuer einzigartiger Key erzeugt wird. Dank 2048-bit RSA-Verschlüsselung ist das ganze System bestens abgesichert.

Auch besteht die Option, nach Installation des Plugins fortan nur noch die Anmeldung über Clef zu ermöglichen und das Standard-Loginformular von WordPress auszublenden. Somit gibt es gar keinen Ansatzpunkt mehr für Brute-Force-Attacken, was nicht nur erneut die Sicherheit erhöht und Plugins wie Limit Login Attempts obsolet macht, sondern unter Umständen auch die Serverauslastung reduzieren kann.

Smartphone verloren – was jetzt?

Selbstverständlich haben die Entwickler auch daran gedacht. Es gibt nicht nur die Option eine „Secret-URL“ anzulegen, unter der man weiterhin das WordPress-Loginformular zu sehen bekommt (diese URL sollte man sich also unbedingt als Bookmark abspeichern), sondern man hat auch die Möglichkeit direkt über Clef seinen Account sperren zu lassen, sodass der mögliche Dieb oder Finder des Smartphones nichts mehr mit der App anfangen kann.

Fazit

Durchdachtes System, welches hoffentlich Zukunft hat

Clef macht auf mich einen sehr guten und durchdachten Eindruck. Auch wird es sehr gut in der Community angenommen, sodass diese mittlerweile mit Waltz eine eigene Chrome-Extension herausgebracht hat, welche Logins u.a. bei Facebook und Google mit Clef ermöglicht. Die Tatsache, dass Clef in letzter Zeit sehr eng mit WPMU und CyberChimps zusammenarbeitet, lässt auf langen Support und eine rosige Zukunft hoffen.

Ich für meinen Teil bin begeistert und kann es wirklich nur jedem empfehlen, sich das Plugin einmal anzuschauen und auszuprobieren. Löschen lässt es sich immer noch.

Autor: Denis Brediceanu
Autor: Denis Brediceanu
Online Marketing Berater, WordPress Webentwickler und Gründer von WPcorner.de aus Leidenschaft. Ich helfe gerne Menschen, im Internet mit ihrer Idee Fuß zu fassen. Die Technik sollte niemandem im Weg stehen, seine Träume zu verwirklichen!